1. Основні загрози доступності інформації:
ненавмисні помилки користувачів
зловмисне зміна даних
хакерська атака
відмова програмного та апаратного забезпечення
руйнування чи пошкодження приміщень
перехоплення даних
2. Суть компрометації інформації
внесення змін до бази даних, внаслідок чого користувач позбавляється доступу до інформації
несанкціонований доступдо переданої інформаціїканалами зв'язку та знищення змісту переданих повідомлень
внесення несанкціонованих змін до бази даних, внаслідок чого споживач змушений або відмовитися від неї, або робити додаткові зусиллядля виявлення змін та відновлення істинних відомостей
3. Інформаційна безпека автоматизованої системи- Це стан автоматизованої системи, при якому вона, …
з одного боку, здатна протистояти впливу зовнішніх та внутрішніх інформаційних загроз, а з іншого — її наявність та функціонування не створює інформаційних загроз для елементів самої системи та зовнішнього середовища
з одного боку, здатна протистояти впливу зовнішніх та внутрішніх інформаційних загроз, а з іншого – витрати на її функціонування нижчі, ніж передбачуваний збиток від витоку інформації, що захищається
здатна протистояти тільки інформаційним загрозам, як зовнішнім так і внутрішнім
здатна протистояти лише зовнішнім інформаційним загрозам
4. Методи підвищення достовірності вхідних даних
Заміна процесу введення значення процесом вибору значення з запропонованої множини
Відмова від використання даних
Проведення комплексу регламентних робіт
Використання замість введення значення його зчитування з машиночитаного носія
Введення надмірності в документ першоджерело
Багаторазове введення даних та звірення введених значень
5. Принципова відмінність міжмережевих екранів (МЕ) від систем виявлення атак (ЗРВ)
МЕ були розроблені для активного чи пасивного захисту, а СОР – для активного чи пасивного виявлення
МЕ були розроблені для активного або пасивного виявлення, а СОР – для активного чи пасивного захисту
МЕ працюють тільки на мережевому рівні, а СОВ – ще й фізично
6. Сервіси безпеки:
ідентифікація та автентифікація
шифрування
інверсія паролів
контроль цілісності
регулювання конфліктів
екранування
забезпечення безпечного відновлення
кешування записів
7. Під загрозою віддаленого адміністрування в комп'ютерної мережірозуміється загроза …
несанкціонованого управління віддаленим комп'ютером
впровадження агресивного програмного коду в рамках активних об'єктів Web-сторінок
перехоплення або заміни даних на шляхах транспортування
втручання у особисте життя
постачання неприйнятного змісту
8. Причини виникнення помилки у даних
Похибка вимірів
Помилка під час запису результатів вимірювань у проміжний документ
Неправильна інтерпретація даних
Помилки при перенесенні даних із проміжного документа на комп'ютер
Використання неприпустимих методів аналізу даних
Непереборні причини природного характеру
Навмисне спотворення даних
Помилки під час ідентифікації об'єкта чи суб'єкта господарської діяльності
9. До форм захисту інформації не належить...
аналітична
правова
організаційно-технічна
страхова
10. Найбільш ефективний засібдля захисту від мережевих атак
використання мережевих екранів або firewall
використання антивірусних програм
відвідування лише «надійних» Інтернет-вузлів
використання лише сертифікованих програм-броузерів при доступі до мережі Інтернет
11. Інформація, що становить державну таємницю, не може мати гриф…
"для службового використання"
«таємно»
"цілком таємно"
«особливої важливості»
12. Розділи сучасної криптографії:
Симетричні криптосистеми
Криптосистеми з відкритим ключем
Криптосистеми з дублюванням захисту
Системи електронного підпису
Керування паролями
Управління передачею даних
Керування ключами
13. Документ, що визначив найважливіші сервіси безпеки та запропонував метод класифікації інформаційних систем з вимог безпеки
рекомендації X.800
Помаранчева книга
Закону «Про інформацію, інформаційних технологійта про захист інформації»
14. Витік інформації – це …
несанкціонований процес перенесення інформації від джерела до зловмисника
процес розкриття секретної інформації
процес знищення інформації
ненавмисна втрата носія інформації
15. Основні загрози конфіденційності інформації:
маскарад
карнавал
переадресування
перехоплення даних
блокування
зловживання повноваженнями
16. Елементи знака охорони авторського права:
літери С у колі або круглих дужках
літери P у колі або круглих дужках
найменування (імені) правовласника
найменування об'єкта, що охороняється
роки першого випуску програми
17. Захист інформації забезпечується застосуванням антивірусних засобів
так
ні
не завжди
18. Засоби захисту об'єктів файлової системи ґрунтуються на…
визначення прав користувача на операції з файлами та каталогами
завдання атрибутів файлів і каталогів, незалежних від прав користувачів
19. Вид загрози дії, спрямованої на несанкціоноване використання інформаційних ресурсів, який не при цьому впливає на її функціонування — … загроза
активна
пасивна
20. Навмисна загроза безпеці інформації
крадіжка
повінь
пошкодження кабелю, яким йде передача, у зв'язку з погодними умовами
помилка розробника
21. Концепція системи захисту від інформаційної зброї не повинна включати...
засоби нанесення контратаки за допомогою інформаційної зброї
механізми захисту користувачів від різних типів та рівнів загроз для національної інформаційної інфраструктури
ознаки, що сигналізують про можливий напад
процедури оцінки рівня та особливостей атаки проти національної інфраструктури в цілому та окремих користувачів
22. Відповідно до норм російського законодавства захист інформації є прийняття правових, організаційних та технічних заходів, спрямованих на …
забезпечення захисту інформації від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також від інших неправомірних дій щодо такої інформації
реалізацію права на доступ до інформації»
дотримання норм міжнародного права у сфері інформаційної безпеки
виявлення порушників та притягнення їх до відповідальності
дотримання конфіденційності інформації обмеженого доступу
розробку методів та удосконалення засобів інформаційної безпеки
Навіть сама найкраща системазахисту рано чи пізно буде зламано. Виявлення спроб вторгнення є найважливішим завданням системи захисту, оскільки її рішення дозволяє мінімізувати збитки від злому та збирати інформацію про методи вторгнення. Як правило, поведінка хакера відрізняється від поведінки легального користувача. Іноді ці відмінності можна виразити кількісно, наприклад, підраховуючи кількість некоректних вводів пароля під час реєстрації.
Основним інструментом виявлення вторгнень є запис даних аудиту. Окремі дії користувачів протоколюються, а отриманий протокол використовується виявлення вторгнень.
АудитТаким чином, полягає в реєстрації спеціальних даних про різні типи подій, що відбуваються в системі і так чи інакше впливають на стан безпеки комп'ютерної системи. До таких подій зазвичай зараховують такі:
- вхід або вихід із системи;
- операції з файлами (відкрити, закрити, перейменувати, видалити);
- звернення до віддаленої системи;
- зміна привілеїв або інших атрибутів безпеки (режим доступу, рівня благонадійності користувача тощо).
Якщо фіксувати всі події, обсяг реєстраційної інформації, швидше за все, зростатиме надто швидко, а її ефективний аналізстане неможливим. Слід передбачати наявність коштів вибіркового протоколюванняяк щодо користувачів, коли стеження здійснюється лише за підозрілими особами, так і щодо подій. Стеження важливе насамперед як профілактичний засіб. Можна сподіватися, що багато хто утримається від порушень безпеки, знаючи, що їхні дії фіксуються.
Крім протоколювання, можна періодично скануватисистему на наявність слабких місцьу системі безпеки. Таке сканування може перевірити різноманітні аспекти системи:
- короткі чи легкі паролі;
- неавторизовані set-uid програми, якщо система підтримує цей механізм;
- неавторизовані програми у системних директоріях;
- програми, що довго виконуються;
- нелогічний захист як користувача, так і системних директорій та файлів. Прикладом нелогічного захисту може бути файл, який заборонено читати його автору, але який дозволено записувати інформацію сторонньому користувачеві;
- потенційно небезпечні списки пошуку файлів, які можуть призвести до запуску "троянського коня";
- зміни у системних програмах, виявлені з допомогою контрольних сум.
Будь-яка проблема, виявлена сканером безпеки, може бути ліквідована автоматично, так і передана для вирішення менеджеру системи.
Аналіз деяких популярних ОС з погляду їхньої захищеності
Отже, ОС має сприяти реалізації заходів безпеки або безпосередньо підтримувати їх. Прикладами подібних рішень у рамках апаратури та операційної системи можуть бути:
- поділ команд за рівнями привілейованості;
- сегментація адресного простору процесів та організація захисту сегментів;
- захист різних процесів від взаємного впливу з допомогою виділення кожному свого віртуального простору;
- особливий захист ядра ОС;
- контроль повторного використанняоб'єкта ;
- наявність засобів управління доступом;
- структурованість системи, явне виділення надійної обчислювальної бази (сукупності захищених компонентів); забезпечення компактності цієї бази;
- дотримання принципу мінімізації привілеїв- кожному компоненту дається рівно стільки привілеїв, скільки необхідно для виконання своїх функцій.
Велике значення має структура файлової системи. Наприклад, в ОС з дискреційним контролем доступу кожен файл повинен зберігатися разом з дискреційним списком прав доступу до нього, а, наприклад, при копіюванні файлу всі атрибути, у тому числі ACL, повинні бути автоматично скопійовані разом з тілом файлу.
В принципі, заходи безпеки не обов'язково повинні бути заздалегідь вбудовані в ОС - досить важлива можливість додаткової установки захисних продуктів. Так, суто ненадійна система MS-DOS може бути вдосконалена за рахунок засобів перевірки паролів доступу до комп'ютера та/або жорсткого диска, за рахунок боротьби з вірусами шляхом відстеження спроб запису завантажувальний сектор CMOS-засобами тощо. Проте по-справжньому надійна система має спочатку проектуватися з акцентом на механізми безпеки.
MS-DOS
ОС MS-DOS функціонує у реальному режимі (real-mode) процесора i80x86. У ній неможливе виконання вимоги щодо ізоляції програмних модулів (відсутня апаратний захист пам'яті). Вразливим місцем захисту є також файлова система FAT, що не передбачає файлів наявності атрибутів, пов'язаних з розмежуванням доступу до них. Таким чином, MS-DOS знаходиться на нижньому рівні в ієрархії захищених ОС.
NetWare, IntranetWare
Зауваження про відсутність ізоляції модулів один від одного справедливе і щодо робочої станції NetWare. Однак NetWare - мережеваОС, тому до неї можливе застосування інших критеріїв. Це зараз єдина мережева ОС, сертифікована за класом C2 (наступною, мабуть, буде Windows 2000). При цьому важливо ізолювати найуразливішу ділянку системи безпеки NetWare - консоль сервера, і тоді дотримання певної практики допоможе збільшити ступінь захищеності цієї мережної операційної системи. Можливість створення безпечних систем обумовлена тим, що кількість працюючих програм фіксованота користувач не має можливості запуску своїх додатків.
OS/2
OS/2 працює у захищеному режимі (protected-mode) процесора i80x86. Ізоляція програмних модулів реалізується за допомогою вбудованих у цей процесор механізмів захисту пам'яті. Тому вільна від зазначеного вище корінного недоліку систем типу MS-DOS. Але OS/2 була спроектована та розроблена без урахування вимог щодо захисту від несанкціонованого доступу. Це позначається насамперед файлової системі. У файлових системах OS/2 HPFS (high performance file system) та FAT немає місця ACL. Крім того, програми користувача мають можливість заборони переривань. Отже, сертифікація OS/2 на відповідність якомусь класу захисту неможливо.
Вважається, Такі операційні системи, як MS-DOS, Mac OS, Windows, OS/2, мають рівень захищеності D (помаранчевої книги). Але, якщо бути точним, не можна вважати ці ОС навіть системами рівня безпеки D, адже вони ніколи не подавалися на тестування.
Нині в багатьох споживачів засобів захисту склалося дещо дивне ставлення до додаткових засобів захисту. На жаль, часом, застосування подібних засобів розглядається лише в частині необхідності виконання формалізованих умов, що дозволяють обробляти категоровану інформацію - у принципі не розглядаються питання підвищення ефективності захисту, як наслідок, вибір СЗІ від НСД споживачем здійснюється, виходячи з цінових показників. Чому ж таке ставлення? Насправді все дуже просто.
Існують вимоги до СЗІ від НСД, які є обов'язковими до виконання розробником. Ці вимоги у вигляді відповідних нормативних документів видані ще в 1992 році (15 років тому, за нинішніх темпів розвитку ІТ-технологій, згадайте, які тоді були комп'ютери та системні засоби, як вони використовувалися), що вже ставить під сумнів їх актуальність у сучасні умови. Ці вимоги не визначають призначення СЗІ від НСД (крім як захищати інформацію) – містять лише вимоги до набору механізмів захисту та їх реалізації, не даючи рекомендацій щодо практичного використання даних механізмів захисту для вирішення конкретних завдань. Вникаючи у ці вимоги, споживачеві досить складно зрозуміти призначення створюваних за ними СЗІ від НСД у сучасних умовах, як наслідок, та ставлення до них. Спробуємо ж у цій роботі зрозуміти, а потрібні ж СЗІ від НСД сьогодні в принципі, і якщо потрібні, то яке призначення
Замість вступу.
Як відомо, у грудні 2004 року було видано сертифікат щодо вимог безпеки на ОС Windows XP Professional. Сертифікація цього системного засобу дозволила деяким постачальникам послуг у галузі захисту інформації декларувати таке:
«Застосування сертифікованої ОС Microsoft дозволяє легально обробляти на клієнтських робочих місцях конфіденційну інформацію, що захищається відповідно до законодавства Російської Федерації.
Переваги використання сертифікованої ОС:
Ефективний механізм налаштування параметрів безпеки операційної системи;
Відсутність необхідності встановлення додаткових сертифікованих «накладених» засобів захисту інформації і, як наслідок:
- Підвищення швидкості, стійкості обробки інформації;
- Зниження вартості захищеного автоматизованого місця;
- Зниження вимог до обсягу знань адміністратора безпеки;
Періодичне оновлення операційної системи разом із додатковими «опціями безпеки»;
виконання вимог нормативних документів, які регламентують застосування захищених автоматизованих систем.
У порядку зауваження зазначимо, що найбільше у подібних висловлюваннях шокує те, що використання сертифікованої ОС знижує вимоги до знань адміністратора безпеки. Але саме висока кваліфікація осіб, відповідальних за безпеку обробки інформації на підприємстві, є однією з необхідних умовефективного розв'язання задач захисту! Саме кваліфікація адміністраторів є на сьогоднішній день і однією з основних проблем захисту інформації корпоративних додатках. Можливо, правильніше говорити про необхідність підвищення кваліфікації, незалежно від того, якими засобами захисту вони користуватимуться?! Щоправда, чим вища кваліфікація, тим серйозніші й вимоги до засобу захисту.
Також, у порядку зауваження, зазначимо, що відсутність необхідності встановлення додаткових сертифікованих «накладених» засобів захисту інформації з огляду на виконання вимог нормативних документів, що регламентують застосування захищених автоматизованих систем (тобто за формальними ознаками) – це мало обґрунтована і вельми спірна позиція. Наведемо лише один приклад невиконання формальних вимог, навіщо звернемося до нормативного документа: «Держкомісія Росії. Керівний документ. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до інформації» – це документ, який використовується під час атестації об'єктів інформатизації. Розглянемо та проаналізуємо здійсненність лише однієї вимоги до АС класу захищеності 1Г (захист конфіденційної інформації):
Повинне здійснюватися очищення (обнулення, знеособлення) областей, що звільняються. оперативної пам'ятіЕОМ та зовнішніх накопичувачів. Очищення здійснюється одноразовим довільним записом в область пам'яті, що звільняється, раніше використану для зберігання даних, що захищаються (файлів).
ОС Windows XP в принципі не здійснює очищення зовнішніх накопичувачів, що звільняються, в ній відсутній подібний механізм захисту. Хто хоч трохи знайомий з цією системою, знає, що системою здійснюється запис нулів в область пам'яті, що виділяється, перед записом в неї інформації (тобто. зору безпеки «дві великі різниці»). Але це питання підвищення надійності роботи системи, а аж ніяк не захисту, щодо гарантованого очищення залишкової інформації. Як наслідок, залишкова інформація, як на жорсткому диску, так і на зовнішніх накопичувачах, тут є завжди. Адже це не єдина невідповідність механізмів захисту ОС існуючим вимогам.
Однак у цій роботі нас цікавитиме інше. Бачимо, що тут не те, щоб ставиться під сумнів доцільність застосування в корпоративних додатках (захисту конфіденційної інформації) додаткових засобів захисту інформації, а даний підхід розглядається, як цілком очевидний, більш того, обґрунтовується, які в цьому випадку споживач отримує вагомі переваги. правда, зауважимо, ні слова про ефективність захисту). Можливо, так воно і є, жодної потреби у додаткових засобах захисту не існує? Спробуємо відповісти на це питання, при цьому все-таки «на чільне місце» поставимо питання ефективності захисту, все-таки, перш за все, ми говоримо про безпеку.
Почнемо спочатку.
Насамперед, необхідно визначитися з областю практичного використаннябудь-якого системного засобу, у тому числі засоби захисту інформації. Саме сфера практичного використання і диктує ті вимоги до системного засобу, які, в першу чергу, бути реалізовані розробником, щоб підвищити споживчу вартість даного засобу. Як побачимо далі, на практиці подібні вимоги для різних областей практичного використання можуть дуже різнитися, а часом, і суперечити один одному, що не дозволяє створити єдиного кошти «на всі випадки життя».
Коли мова заходить про інформаційні технології, можна виділити два їх основні додатки - це особисте використання в домашніх умовах, або корпоративне використання- на підприємстві. Якщо замислитись, то різниця вимог, у тому числі, і до засобів захисту, у цих додатках величезна. У чому вона полягає.
Коли мова йдепро особисте використання комп'ютера в домашніх умовах, ми відразу ж починаємо замислюватися про сервіси, що надаються системним засобом – це максимально можливе використанняпристроїв, універсальність додатків, мріємо про всілякі ігри, програвачі, графіку і т.д. і т.п.
Найважливішими ж умовами використання засобів захисту в цих додатках є таке:
За великим рахунком, відсутність будь-якої конфіденційності (за Крайній мірі, що формується) інформації, що вимагає захисту. Основне завдання захисту тут зводиться забезпечення працездатності комп'ютера;
Відсутність критичності у частині розкрадання оброблюваної інформації, а й у її несанкціонованої модифікації, чи знищення. Не такі критичні в цих додатках і атаки на системні ресурси, великою мірою вони пов'язані лише з незручністю для користувача;
Відсутність кваліфікації користувача у питаннях забезпечення інформаційної безпеки, та й природне небажання займатися цими питаннями (захищати нічого);
Відсутність будь-якого зовнішнього адміністрування системного засобу, у тому числі в частині налаштування механізмів захисту – всі завдання адміністрування вирішуються безпосередньо користувачем – власне користувач повинен самостійно вирішувати всі питання, пов'язані з безпекою. Інакше кажучи, користувач і є адміністратор – сам собі і захисник, і безопасник;
Відсутність будь-якої недовіри до користувача – користувач обробляє власну інформацію (він же власник комп'ютера, він власник інформації);
Здебільшого, обробка інформації користувача складає одному комп'ютері, локально.
Тепер подивимося, які ж підходи до побудови засобів захисту виявилися практично найбільш затребуваними в цих додатках. Природно, що подібними рішеннями стали засоби захисту, а засоби контролю, насамперед – це всілякі антивірусні кошти, засновані на сигнатурному аналізі. Очевидно, що засоби захисту, що вимагають певної кваліфікації для налаштування (а просто ефективний захист не забезпечити), у цих додатках є малопридатними. Контроль ж передбачає найпростіших дій від користувача - "натиснув кнопку, і готово". Усі питання, що потребують кваліфікованого вирішення, тут «перекладаються на плечі» розробників антивірусних засобів, зокрема, підтримка бази вірусів у максимально актуальному стані. Зауважимо, що оскільки ніякого адміністрування не передбачається, весь діалог здійснюється з кінцевим користувачем, а не з адміністратором, що, до речі кажучи, навіть при використанні засобів контролю, часом, ставить користувача «в глухий кут». Навіть подібна «мала автоматизація ухвалення рішень» - право ухвалення рішення надається користувачеві (на екран виводиться відповідне питання про необхідних діях), здебільшого, для цих додатків є неприйнятною, т.к. вимагає підвищення кваліфікації користувача, а цього об'єктивно не потрібно.
Наскільки ефективними є такі засоби? Природно, що з точки зору забезпечення будь-якого прийнятного рівня захисту інформації такі засоби неефективні. Це твердження очевидне – будь-якої миті часу база виявлених сигнатур не повна (повної вона може бути навіть теоретично). У порядку ілюстрації наведемо лише одне повідомлення:
(Новина від 24.07.2006). Грехем Інгрем, головний керуючий австралійського підрозділу Групи оперативного реагування на надзвичайні ситуації у комп'ютерній галузі (AusCERT) стверджує, що поширені антивірусні програмиблокують лише близько 20 відсотків шкідливих програм, що недавно з'явилися. При цьому популярні антивіруси пропускають до 80 відсотків нових троянів, шпигунів та інших шкідливих програм. Це означає, що у восьми з десяти випадків вірус, що недавно з'явився, може проникнути на комп'ютер користувача».
Однак не варто критично ставитись до подібних засобів. Без жодного сумніву, для додатків, що розглядаються, вони необхідні, і єдино прийнятні для практичного використання. Адже тут постає питання: або прості засоби, або ніякі - складні кошти в цих додатках ніхто використовувати не стане? Так краще якось, ніж ніяк!
Якщо ж ми починаємо говорити про корпоративні додатки, то в цих додатках як умови використання системних засобів, так і вимоги до засобу захисту не те, щоб були кардинально інші, вони прямо протилежні. Зокрема, тут уже немає необхідності у великій номенклатурі пристроїв, додатків, іграшки та інше фактор, що відволікає від службової діяльності, можливість їх запуску в принципі бажано запобігти, і т.д. і т.п.
Найважливішими умовами використання засобів захисту в цих додатках є таке:
У даних додатках апріорі є конфіденційна інформація, що потребує кваліфікованого захисту;
Критичним є як факт розкрадання оброблюваної інформації, а й можливість її несанкціонованої модифікації, чи знищення. Критичним у цих додатках також стає виведення з ладу системних засобів на тривалий час, тобто. найважливішими об'єктами захисту стають системні ресурси;
Відсутність кваліфікації користувача у питаннях забезпечення інформаційної безпеки, та й небажання займатися цими питаннями (захищати потрібно його особисту інформацію), і водночас, наявність адміністратора безпеки, основним службовим обов'язком якого є захист інформації – тобто. саме для вирішення цього завдання він і прийнятий на роботу, який апріорі повинен мати високу кваліфікацію, тому що, в іншому випадку, про якийсь ефективний захист у сучасних умовах говорити не доводиться;
Усі завдання адміністрування засобів захисту мають вирішуватися безпосередньо адміністратором (до речі, це одна з вимог нормативних документів);
Апріорна недовіра до користувача – користувач обробляє не власну, а корпоративну, або іншу конфіденційну інформацію, яка потенційно є «товаром», як наслідок, користувач повинен розглядатися як потенційний зловмисник (останнім часом навіть з'явилося таке поняття, як інсайдер, а внутрішня) ІТ-загроза – загроза розкрадання інформації санкціонованим користувачем, деякими споживачами та виробниками засобів захисту позиціонується як одна з домінуючих загроз, що не позбавлене підстав);
Здебільшого обробка конфіденційної інформації здійснюється в корпоративної мережі, причому, який завжди у локальної – це зумовлює неможливість ефективного вирішення завдання адміністрування безпеки локально кожному комп'ютері - без відповідного інструментарію (АРМа адміністратора у мережі).
Бачимо, що в цих додатках вже «на чільне місце» ставиться завдання ефективного захисту інформації, яка повинна вирішуватися професійно. Не випадково, що захист інформації в цих додатках регламентується відповідними нормативними документами, засоби захисту передбачають їхню сертифікацію, а автоматизована система (АС) обробки інформації – атестацію, а все разом - кваліфікований аналіз достатності та коректності реалізації механізмів захисту. Основу забезпечення інформаційної безпеки в цих додатках вже становлять саме механізми захисту, що реалізують розмежувальну політику доступу до ресурсів, а не найпростіші механізми контролю! Це дуже важливо. Зараз активно стали розвиватися саме механізми контролю (основна причина того, відносна простота реалізації – завдання вирішується, як правило, на прикладному рівні, а не на рівні ядра), але пам'ятатимемо, що механізми, що базуються на реалізації функцій контролю, ніколи ефективно не вирішать завдання захисту. Функції контролю в цих додатках слід розглядати як певну опцію, на додаток до механізмів захисту, що реалізують розмежувальну політику доступу до ресурсів, які складні в розробці, вимагають кваліфікації при налаштуванні, але тільки із застосуванням цих механізмів потенційно можна забезпечити ефективне вирішення задачі захисту інформації!
То навіщо потрібні додаткові засоби захисту інформації?
Подивившись, наскільки сильні протиріччя вимог (наскільки вони виключають одне одного) в альтернативних додаткахМожна зробити дуже важливий висновок, що полягає в тому, що як системні засоби (наприклад, ОС), так і додаткові засоби захисту, не можуть одночасно їх виконати. Іншими словами, як системний засіб, так і додатковий засіб захисту може бути орієнтований, або на використання в домашніх умовах, або на використання корпоративних додатків! Причому подібними засобами вирішуються різні завдання, принципово різняться основні вимоги до їх побудови. При створенні засобу захисту, розробник неминуче буде змушений зробити вибір на користь тієї чи іншої області додатків, на користь того чи іншого підходу до побудови.
Однак на практиці, з метою розширення області додатків своєї розробки, виробник часом прагне поєднати несумісне – «всидіти на двох стільцях». Природно, що це призводить, з одного боку, до ускладнення простих рішень, з іншого боку – зниження ефективності складних рішень. Отримуємо якусь ілюзію «серйозності» та професійності захисту, яка досить проста в управлінні. Проте подібна ілюзія зникає вже у процесі нетривалого використання таких коштів. Яскравим прикладом, що підтверджує цей висновок, є сучасні універсальні ОС, в тому числі (а може бути, в першу чергу), і ОС сімейства Windows, які явно не орієнтовані на корпоративне використання (ось Novell, навпаки, створювалася виключно для використання в корпоративних додатках, можливо , Саме тому вона і не стала настільки популярною в масах), до речі кажучи, це видно з самої назви та початкового позиціонування системи. Завдання захисту інформації для подібних системних засобів вторинна, первинна ж зручність роботи користувача, максимальна універсальність роботи з додатками та пристроями тощо. А основу захисту, як наслідок, становить реалізація рішень, що ґрунтуються на повній довірідо користувача. Іншими словами, у розвитку подібних системних засобів чітко проглядається основний їх додаток (відповідно, і основний їхній потенційний споживач) - особисте використання комп'ютера в домашніх умовах.
З урахуванням всього сказаного, може бути сформульовано основне завдання додаткового засобу захисту інформації - це зміна області застосування (області ефективного практичного використання) універсального системного засобу - забезпечення його ефективного використанняу корпоративних додатках. І це, ні більше, ні менше – перегляд самої концепції захисту сучасної універсальної ОС.
На думку, чітке позиціонування завдань, вирішуваних додатковим засобом захисту – це запорука успіху. Подібне позиціонування неминуче призведе до перегляду вимог до їх побудови, як щодо коректності реалізації окремих механізмів захисту, так і щодо повноти їх набору для корпоративних додатків.
Розглянемо, як сьогодні формулюються вимоги до механізмів захисту – це вимоги до деякого їхнього набору та вимоги щодо їх реалізації. Все начебто вірно, проте, виходячи з яких умов сформульовані ці вимоги, та й як вони сформульовані. Розглянемо приклад, навіщо звернемося до відповідного нормативного документа.
У частині реалізації розмежувальної політики доступу до ресурсів для засобів, призначених для захисту конфіденційної інформації (5 клас СВТ), ці вимоги визначають, що має бути реалізований дискреційний принцип контролю доступу:
КСЗ (комплекс засобів захисту) має контролювати доступ найменованих суб'єктів (користувачів) до найменованих об'єктів (файлів, програм, томів тощо);
Для кожної пари (суб'єкт - об'єкт) у СВТ має бути задано явне та недвозначне перерахування допустимих типів доступу (читати, писати тощо). Тобто тих типів доступу, які є санкціонованими для даного суб'єкта(індивіда або групи індивідів) до даному ресурсуСВТ (об'єкту);
КСЗ повинен містити механізм, що втілює у життя дискреційні правила розмежування доступу;
Контроль доступу має бути застосований до кожного об'єкта та кожного суб'єкта (індивіда або групи рівноправних індивідів);
Механізм, що реалізує дискреційний принцип контролю доступу, повинен передбачати можливості санкціонованої зміни правил розмежування доступу (ПРД), у тому числі можливість санкціонованої зміни списку користувачів СВТ та списку об'єктів, що захищаються;
Право змінювати ПРД має надаватися виділеним суб'єктам (адміністрації, службі безпеки тощо).
У частині реалізації розмежувальної політики доступу до ресурсів в автоматизованій системі (клас 1Г АС), дані вимоги визначають, що відповідний принцип контролю доступу має бути реалізований до всіх ресурсів, що захищаються (іншими словами, вводиться узагальнення, стосовно всіх комп'ютерних ресурсів):
Повинен здійснюватися контроль доступу суб'єктів до ресурсів, що захищаються відповідно до матриці доступу.
Як бачимо з наведених вимог, ключовим елементом розмежувальної політики доступу до ресурсів, а саме об'єктом доступу, є комп'ютерний ресурс - файловий об'єкт, об'єкт реєстру ОС, пристрій, мережевий ресурс і т.д.
У порядку зауваження (це не є метою справжньої роботи) звернемо увагу читача на недоліки даних вимог, які відразу ж «кидаються в очі».
Насамперед, і це вкрай важливо, що все ж таки слід на підставі даних вимог віднести до «захищених ресурсів». Адже, напевно, при вирішенні різних завдань захисту та перелік ресурсів, які, безперечно, потрібно захищати різний. Наприклад, скажіть, чи має право на життя засоби захисту, які не реалізують контроль доступу суб'єктів до таких ресурсів, як системний диск(Насамперед, на запис, з метою запобігання можливості його несанкціонованої модифікації), об'єкти реєстру ОС, буфер обміну, послуги уособлення, розділені в мережі та зовнішні мережеві ресурси і т.д. і т.п. Виходить, що, по-перше, відсутня однозначність вимоги того, який набір механізмів має бути присутнім у засобі захисту для достатності використання засобу захисту конфіденційної інформації, по-друге, що ще неприємніше, виходить, що аналіз достатності набору механізмів захисту для вирішення конкретних завдань захисту конфіденційної інформації перекладається «на плечі» розробника, а то й споживача – адже набір ресурсів, що захищаються, однозначно не заданий. А як, використовуючи ці вимоги, провести атестацію АС у сенсі отримання об'єктивної оцінки її захищеності?
А коли йдеться про те, що «КСЗ (комплекс засобів захисту) має контролювати доступ найменованих суб'єктів (користувачів)…», знову неоднозначність. До найменованих суб'єктів (користувачів) можуть бути віднесені і системні користувачі, наприклад System. Чи потрібно контролювати їхній доступ до ресурсів? Існує вимога «Для кожної пари (суб'єкт - об'єкт) у СВТ має бути задано явне та недвозначне перерахування допустимих типів доступу (читати, писати тощо)…». Однак, що у цій вимогі є ключовими словами «для кожної пари» або «явне…». А що означає «і т.д.», коли йдеться про об'єкти та типи доступу до вимог. Ось як створити систему, яка б задовольняла цим вимогам, у подібному їх формулюванні?
По-друге, саме визначення принципу контролю доступу при сформульованих вимогах до його реалізації некоректне. Пояснимо. У цих вимогах йдеться про так званий дискреційний принцип контролю доступу. Суперечність полягає в тому, що саме поняття дискреційний принцип контролю доступу засноване на реалізації схеми адміністрування, яка передбачає призначення прав доступу користувачем до об'єкта, що створюється ним (тобто на використанні сутності «Владіння»). Зауважимо, що така схема контролю доступу реалізується більшістю універсальних ОС, т.к. вона регламентується стандартом Posix. Однак у нормативному документі йдеться про те, що «Право змінювати ПРД має надаватися виділеним суб'єктам (адміністрації, службі безпеки тощо)», тобто. не користувачу. Для корпоративних додатків ця вимога цілком виправдана, а як інакше протидіяти інсайдерам, та й взагалі, якою може бути відповідальність адміністратора безпеки за розкрадання даних, якщо користувач може самостійно призначати права доступу до створюваних ним даних, іншим користувачам. Незважаючи на те, що це очевидно, неоднозначність є.
Нами пропонується інша класифікація принципів контролю доступу, основою якої є поняття «виборчого» і «повноважного» контролю доступу.
Під виборчим контролем доступу розуміється контроль, який передбачає включення будь-яких формалізованих відносин суб'єктів та об'єктів доступу.
Основу повноважного контролю доступу становить спосіб формалізації понять «група» користувачів і «група» об'єктів, на підставі шкали повноважень, що вводиться. Ієрархічна шкала повноважень, як правило, запроваджується на основі категорування даних (відкриті, конфіденційні, суворо конфіденційні тощо) та прав допуску до даних користувачів (за аналогією з поняттям «форми допуску»).
Виборчий контроль, про який ми тут говоримо, може бути реалізований, як з примусовим, так і з довільним управлінням доступом до ресурсів. Примусове управління передбачає виключення користувача зі схеми адміністрування (користувач обробляє інформацію в рамках розмежувальної політики доступу до ресурсів, заданої для нього адміністратором), довільне - це дискреційний принцип контролю доступу, при якому користувач, будучи власником створеного ним об'єктам, сам визначає права доступу до цього об'єкта іншим користувачам (тобто користувач є одним із елементів схеми адміністрування).
Зауважимо, що, по суті, нічого не визначається і вимогою «Повинен здійснюватися контроль доступу суб'єктів до ресурсів, що захищаються відповідно до матриці доступу», в частині реалізації контролю на основі матриці доступу, т.к. подібний контроль може бути реалізований при побудові як виборчого, і повноважного механізмів контролю доступу.
Таким чином, бачимо, що вимоги до реалізації засобу захисту в нормативних документах зводиться до того, як має бути розмежований доступ суб'єкта до об'єкта, але жодного слова, як (зокрема, які ресурси при вирішенні яких завдань слід вважати такими, що захищаються) і з якою метою це має застосовуватися на практиці, тобто, з якою метою створюється засіб захисту!
А тепер розглянемо дещо інший підхід до визначення вимог до засобу захисту, в основі якого лежатиме чітке позиціонування призначення засобу захисту. Спробуємо також сформулювати вимоги до засобу захисту під час реалізації такого підходу.
Оскільки ми говоримо про корпоративні додатки та про захист конфіденційної інформації, а основне завдання додаткового засобу захисту позиціонуємо, як зміна області додатків (області ефективного практичного використання) системного засобу, перш за все спробуємо визначитися з тим, у чому сьогодні полягають основні особливості використання системних засобів у корпоративних додатках.
У корпоративних додатках завдання реалізації розмежувальної політики доступу до ресурсів кардинально інше, ніж завдання, вирішуване механізмами захисту сучасних універсальних ОС, в першу чергу, орієнтованих на домашнє використання, причому власне у своїй постановці. Причиною цього є те, що оброблювані дані в корпоративних додатках, як правило, можуть бути категоровані за рівнем конфіденційності: відкрита інформація, конфіденційна інформація тощо. При цьому той самий користувач у межах виконання своїх службових обов'язків повинен обробляти як відкриті, так і конфіденційні дані. Причому апріорі ці дані мають зовсім різну цінність для підприємства, отже, режими їх обробки повинні відрізнятися (наприклад, тільки відкриту інформаціюможна передавати у зовнішню мережу, зберігати на зовнішніх накопичувачах, конфіденційні дані можуть оброблятися лише певним корпоративним додатком тощо.).
Висновок. Основу реалізації розмежувальної політики в корпоративних додатках вже повинні становити не будь-які конкретні ресурси, а режими обробки категорованої інформації, причому при заданні правил обробки інформації вже насамперед має розглядатися не питання розмежування доступу до ресурсів між різними користувачами, а питання реалізації різних режимів обробки даних різної категоріїдля того самого користувача.
З урахуванням ж протидії розкрадання та несанкціонованої модифікації категорованої інформації, дані режими обробки мають бути повністю ізольованими.
У цьому випадку «все встає на свої місця», відразу стає зрозумілим, з яких міркувань повинні формулюватися і вимоги до коректності реалізації механізмів захисту, і вимоги до достатності їх набору стосовно умов практичного використання. Головне, що в цьому випадку споживач засобів захисту не стане сумніватися в необхідності додаткових коштів, і не розглядатиме ці кошти лише в частині виконання деяких формальних вимог.
Не будемо в цій роботі зупинятись на формуванні вимог, що забезпечують коректне вирішення задачі захищеної обробки категорованої інформації (ці питання присвячені окрема роботаавтора), лише зазначимо, що ці вимоги серйозно відрізнятимуться від вимог, сформульованих у нормативних документах, що діють сьогодні. Мало спільного з реалізацією цих вимог мають можливості захисту багатьох сучасних універсальних ОС.
Не мало важливим є те, що переглядати має сенс не тільки архітектурні рішення механізмів захисту універсальних ОС, а й інтерфейсні рішення, які також пов'язані з їх областю додатків. У порядку ілюстрації сказаного розглянемо, наприклад, реалізовані в КСЗІ «Панцир-К» для ОС Windows 2000/XP/2003 (розробка ЗАТ «НВП «Інформаційні технології в бізнесі») інтерфейсні рішення щодо настроювання механізмів контролю доступу до ресурсів (на прикладі механізму контролю доступу до файлових об'єктів - на жорсткому диску та на зовнішніх накопичувачах, локальних та розділених у мережі, для розділених – за вихідним та вхідним запитом доступу). Інтерфейс налаштування механізму контролю доступу до файлових об'єктів представлений на рис.1 (тут як суб'єкти доступу виступає сутність «користувач»).
Рис.1. Інтерфейс налаштування розмежувань прав доступу до об'єктів файлової системи для суб'єкта “користувач”
У чому принципова відмінність? Розмежувальна політика формується не призначенням атрибутів файловим об'єктам, а призначенням прав доступу для користувачів (облікових записів). Основу складає дозвільна розмежувальна політика - "Все, що не дозволено - явно не вказано, то заборонено" - це єдино коректна розмежувальна політика для корпоративних додатків. При цьому (див. рис.1) в одному вікні інтерфейсу відображається вся розмежувальна політика доступу до всіх об'єктів файлової системи (у тому числі і до об'єктів, розділених у мережі, і об'єктів на зовнішніх накопичувачах, включаючи мобільні), задана для користувача ( інших прав доступу він не має, тому що вони не дозволені за умовчанням, у тому числі і для об'єкта, що створюється). Зауважимо, об'єкт, якого користувачеві дозволяється якесь право доступу, призначається (з використанням огляду) своїм повнопутним ім'ям. Захочете подивитися розмежувальну політику для іншого користувача, виберіть обліковий запис, всі дозволені йому права доступу також будуть відображені в одному вікні інтерфейсу. Не потрібно перебирати об'єкти, дивитися на їхні атрибути – наочно та інформативно! Мінімізовано і кількість типів доступу (атрибутів), що налаштовуються – виключено таке поняття, як «Владіння» файловим об'єктом (що є обов'язковою умовою для корпоративних додатків, і, до речі кажучи, потрібно відповідним нормативним документом, див. вище) і всі пов'язані з цією сутністю типи прав доступу, ряд атрибутів встановлюється «за замовчуванням» системою на підставі прав доступу, що задаються. Все зведено до використання лише трьох встановлюваних адміністратором типів прав доступу: читання, запис, виконання, без втрати універсальності налаштування розмежувальної політики доступу в корпоративних додатках.
Розробники універсальних засобів змушені балансувати між ефективністю та простотою, дуже часто, роблячи свій вибір на користь простоти рішень. Можливо, це обумовлюється розумінням того, що складні механізмизахисту будуть мало затребувані, а це є одним із ключових моментів, коли основним потенційним споживачем є індивідуальний користувач, а засіб призначається для застосування в домашніх умовах.
З огляду на це, може бути сформульована наступна найважливіше завданняДодатковий засіб захисту інформації - це розширення функціональних можливостей механізмів захисту, що забезпечує підвищення їх ефективності.
Проілюструємо цей висновок прикладом. У сучасних універсальних ОС як суб'єкт доступу до ресурсів розглядається сутність користувача (обліковий запис). p align="justify"> Реалізація розмежувальної політики доступу до ресурсів зводиться до завдання розмежування між користувачами (обліковими записами). Разом з тим, не складно показати, що велику загрозу несуть у собі додатки, насамперед це стосується зовнішніх ІТ-загроз.
Проаналізуємо, чому саме процес слід розглядати як джерело виникнення зовнішньої ІТ-загрози. Тому може бути кілька причин, що випливає із наведеної класифікації відомих типів атак, покладемо їх в основу класифікації процесів, яка нам далі знадобиться при викладанні матеріалу:
&bull Несанкціоновані (сторонні) процеси. Це процеси, які не потрібні користувачеві для виконання своїх службових обов'язків і можуть несанкціоновано встановлюватися на комп'ютер (локально чи віддалено) з різними цілями, в тому числі, з метою здійснення
несанкціонованого доступу (НСД) до інформації (шкідливі, шпигунські тощо);
&bull Критичні процеси. До них ми віднесемо дві групи процесів: до процесів першої групи віднесемо ті, які запускаються в системі з привілейованими правами, наприклад, під обліковим записом System, для якої механізми захисту ОС не реалізують розмежувальну політику доступу до ресурсів у повному обсязі, до процесів другої групи ті, які найімовірніше можуть бути піддані атакам, наприклад, це мережеві служби. Атаки на процеси першої групи найкритичніші, що пов'язано з можливістю розширення привілеїв, у межі – отримання повного управління системою, атаки на процеси другої групи найбільш вірогідні;
Скомпрометовані процеси - процеси, що містять помилки (уразливості), що стали відомими, використання яких дозволяє здійснити НСД до інформації. Віднесення даних процесів в окрему групу обумовлено тим, що з моменту виявлення вразливості і до моменту усунення її розробником системи або програми може пройти кілька місяців. Протягом усього цього часу в системі є відома вразливість, тому система не захищена;
&bull Процеси, які апріорі мають недекларовані (документально не описані) можливості. До цієї групи ми віднесемо процеси, які є середовищем виконання (перш за все, це віртуальні машини, які є середовищем виконання для скриптів і аплетів, і офісні додатки, що є середовищем виконання для макросів).
Тепер акцентуємо увагу читача на відомій укрупненій класифікації відомих типів комп'ютерних вірусів:
1... «Шкідливі програми» (трояни тощо). Окремі програми, які виконують ті чи інші деструктивні/несанкціоновані дії.
2...«Віруси». Програми, зазвичай які мають власного виконуваного модуля і " живуть " (зазвичай, зараження здійснюється за допомогою їх приєднання до виконуваному файлу) всередині іншого файлового об'єкта чи частини фізичного носія.
3...«Черви». Різновид 1,2,4, що використовує мережеві можливостідля зараження.
4...«Макро-віруси» (скриптові віруси) - програми, для виконання яких потрібне певне середовище виконання (командний інтрепретатор, віртуальна машина тощо). До цієї групи можемо віднести і офісні додатки, що дозволяють створювати і підключати макроси.
Бачимо, що і тут загрозу в собі несе вплив процесу на інформаційні та комп'ютерні ресурси. Причому можемо відзначити, що завдання антивірусного захисту є підмножиною (усіченою безліччю) завдань захисту інформації від НСД у частині протидії зовнішнім ІТ-загрозам. Інакше кажучи, можемо зробити висновок у тому, що антивірусний захист- це не самостійне завданнязахисту – це лише незначна частина завдань захисту від НСД.
Неважко дійти невтішного висновку, що основу захисту від зовнішніх ІТ-загроз становить реалізація розмежувальної політики доступу до ресурсів для процесів (додатків), тобто. при вирішенні цих завдань захисту саме сутність «процес» слід розглядати як суб'єкт доступу до ресурсів.
У випадку слід розрізняти два самостійних суб'єкта доступу – «користувач» і «процес». У цьому доцільно реалізувати такі схеми завдання розмежувальної політики доступу до ресурсам:
Розмежування прав доступу до об'єктів процесів поза межами користувачів (ексклюзивний режим обробки запитів процесів - доступ до об'єкта дозволяється, якщо він дозволений процесу);
Розмежування прав доступу до об'єктів користувачів поза розмежуванням процесів (ексклюзивний режим обробки запитів користувачів - доступ до об'єкта дозволяється, якщо він дозволений користувачеві);
Комбіноване розмежування прав доступу – розмежування прав доступу до об'єктів процесів у рамках розмежувань користувачів (доступ до об'єкта дозволяється, якщо він дозволений і користувачеві, і процесу).
Таким чином, як суб'єкт доступу може розглядатися або тільки користувач, або тільки процес, або пара - процес і користувач.
У порядку ілюстрації розглянемо приклад розмежувальної політики доступу до файлових об'єктів для програми Internet Explorer, представлений на рис.2 (розмежування задані в інтерфейсі механізму контролю доступу процесів до файлових об'єктів зі складу КСЗІ «Панцир-К» для ОС Windows 2000/XP/2003 знехнології в бізнесі» суб'єкта доступу до ресурсів. становить реалізація розмежувальної політики доступу до ресурсу).
Рис.2. Приклад розмежувальної політики доступу до файлових об'єктів для програми Internet Explorer
Подивіться уважно на ці розмежування. Що зможе зробити зловмисник, отримавши якимось чином можливість керування цим процесом. Це дуже серйозний інструмент захисту, що надає принципово нові функціональні можливості, що ми вимагаємо від додаткових засобів захисту. Зауважимо, що відповідні розмежування прав доступу для критичних процесів необхідно ставити і до об'єктів реєстру ОС.
А помилки, що постійно виявляються, в офісних та інших додатках. Давайте мінімізуємо загрозу, пов'язану з помилками програмування.
Налаштуємо наш механізм захисту та оцінимо складність його адміністрування у наступних припущеннях:
1...Операційна система - Microsoft Windows XP;
2...Офіційні програми, що розглядаються – Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office Outlook 2003;
3...Операційна система встановлена на диску C;
4...Всі додатки інстальовані в каталог C:Program files;
5...Обробка інформації здійснюється під обліковим записом User 1;
6...Для зберігання оброблюваних даних користувачем використовується каталог С: OOD1.
До системних ресурсів, що захищаються, віднесемо каталоги C:Windows і C:Program files і об'єкт реєстру HKEY_LOCAL_MACHINE.
Єдині розмежування для аналізованих процесів офісних додатківнаведено у табл.1.
Подивіться на ці розмежування, що забезпечують коректність функціонування додатків, що розглядаються. Ну, нехай знаходять помилки програмування у додатках – ми готові, ми можемо, використовуючи додатковий засіб захисту, мінімізувати їхні наслідки, підвищивши цим комп'ютерну безпеку. А розмежування наскільки прості – кілька записів в інтерфейсі (якщо, звичайно, інтерфейс створений для використання механізму захисту в корпоративних додатках). Про яку помилку та в якому додатку ми можемо дізнатися найближчим часом? Без додаткового засобу ми просто беззахисні. Адже спочатку помилку знайде зловмисник, потім про неї дізнається розробник, ми ж, як правило, дізнаємося про подібні помилки вже після їх виправлення, іноді це йде кілька місяців, а іноді й кілька років.
Захист багатьох сучасних універсальних операційних систем має дуже серйозні архітектурні недоліки. Один із найбільш яскравих подібних недоліків – це неможливість заборонити на запис системний диск користувачеві System, надавши можливість запуску додатків із системними правами. Виходить, що помилка в подібному додатку може призвести до катастрофічних наслідків. Чи можна вирішити подібне завдання захисту (виправити цей архітектурний недолік) додатковим засобом? Звичайно.
З огляду на це, може бути сформульована наступне найважливіше завдання додаткового засобу захисту інформації - це виправлення архітектурних недоліків захисту сучасних універсальних ОС.
У порядку зауваження відзначимо, що виявити архітектурні недоліки захисту сучасних універсальних ОС не так вже й складно, достатньо проаналізувати причини успішних атак та виявити причини вразливості ОС.
Продовжимо. Скористайтеся можливістю реалізації розмежувальної політики доступу до ресурсів для суб'єкта процесу. Принагідно спробуємо вирішити й інше пов'язане з завданням захисту – забезпечимо замкнене середовище виконання. Приклад налаштування механізму захисту наведено на рис.3.
Рис.3. Приклад налаштування механізму захисту
Розглянемо, що ми отримуємо при таких налаштуваннях – будь-якому процесу (суб'єкт доступу – процес, що задається маскою «*») дозволяється виконання процесів тільки з відповідних двох папок на системному диску, при цьому забороняється будь-яка можливість (знову ж таки, будь-яким процесом, у тому числі та системним) модифікації даних папок. Тобто. будь-який несанкціонований виконуваний файл запустити стає неможливо у принципі. Чи не вирішення більшості актуальних сьогодні завдань захисту інформації! Та нехай ваш комп'ютер «напханий» шкідливим кодом– експлойтами, деструктивними та шпигунськими програмами, троянами, вірусами (тут розглядаємо саме віруси – програми, покликані модифікувати виконуваний код дозволених до запуску програм), запустити його неможливо ніяким чином!
Однак, фахівець, який уявляє собі архітектуру сучасних ОС сімейства Windows, нам заперечить – при подібних налаштуваннях система працювати не буде, ми побачимо «синій екран»! На жаль, він матиме рацію. При подібних налаштуваннях система працювати не зможе, потрібні уточнювальні налаштування. Справа в тому, що деякі системні процесиповинні мати право записувати відповідні файлові об'єкти на системному диску. Їх не так багато. До таких процесів, наприклад, можна віднести: lsass.exe і svchost.exe.
Саме це і визначає неможливість заборонити модифікацію системного диска системним користувачам (зокрема, System), як наслідок, і всім системним процесам, а також іншим процесам, що запускаються під цим обліковим записом (інакше побачимо синій екран – даним системним процесам необхідний доступ до запису до системний диск). Ось результат – неможливість будь-якої протидії атакам, пов'язаним із уразливістю, що надають можливість отримання зловмисником системних прав – записуй на системний диск експлойт та запускай!
Для забезпечення коректності функціонування системи та офісних додатків із заданими налаштуваннями (див. рис.3), необхідно ввести найпростіші додаткові розмежування всього для двох системних процесів: lsass.exe потрібно дозволити запис/читання в папку F:XPSystem32CONFIG, а процесу svchost.exe потрібно дозволити запис/читання у папку F:XPSystem32WBEM та у файл F:XPWindowsupdate.log. От і все! Зауважимо, що це призведе до зниження рівня безпеки, т.к. дані системні процеси не мають інтерфейсу користувачаа модифікувати їх неможливо. Подивіться, всього кількома записами в інтерфейсі додаткового засобу захисту ми виправили один з найсерйозніших архітектурних недоліків захисту ОС і реалізували ефективну протидію найбільш актуальним на сьогоднішній день загрозам, пов'язаним з можливістю запуску на комп'ютері, що захищається, несанкціонованої програми.
Висновок
Насамкінець зазначимо, що у цій роботі ми спробували визначити завдання, які має вирішувати додатковий засіб захисту, визначилися і з його призначенням. А призначення – це, всього лише, зміна власне принципів захисту, закладених у сучасних універсальних ОС. Природно, що з коректного вирішення розглянутих завдань додаткового кошти, мають бути чітко сформульовані відповідні вимоги реалізації механізмів захисту та їх набору. Однак це самостійне питання, що виходить за рамки справжньої роботи. Зауважимо, що у роботі ми навели лише деякі ілюстрації можливостей додаткових засобів захисту. Якщо ж з позицій усього сказаного поглянути на функціональні можливості деяких представлених сьогодні на ринку засобів захисту - СЗІ від НСД, мимоволі запитуєш: яке призначення, з якою метою вони створені? Напевно, щодо подібних СЗІ від НСД із позицією: «відсутність необхідності встановлення додаткових сертифікованих «накладених» засобів захисту інформації» частково можна й погодитись. Але ж є й інші додаткові засоби захисту інформації, з іншим функціоналом, причому сертифіковані, які покликані підвищити ефективність захисту, рівень якої для багатьох сучасних універсальних ОС ніяк не можна визнати прийнятним.
ВАРІАНТ 1
A. ненавмисні помилки користувачів
c. хакерська атака
A. визначення прав користувача на операції з файлами та каталогами
b. завдання атрибутів файлів і каталогів, незалежних від прав користувачів
c. правильної відповіді немає
3. Вид загрози дії, спрямованої на несанкціоноване використання інформаційних ресурсів, що не впливає на її функціонування – … загроза:
a. активна
B. пасивна
C. правильної відповіді немає
4. Навмисна загроза безпеці інформації:
A. крадіжка
b. повінь
c. пошкодження кабелю, яким йде передача, у зв'язку з погодними умовами
помилка розробника
5. Захист інформації це:
b. перетворення інформації, внаслідок якого зміст інформації стає незрозумілим для суб'єкта, який не має доступу;
6. До основних ненавмисних штучних загроз належить:
a. перехоплення побічних електромагнітних, акустичних та інших випромінювань пристроїв та ліній зв'язку;
b. ненавмисне ушкодження каналів зв'язку;
c. фізичне руйнування системи шляхом вибуху, підпалу тощо.
7. За наявності зворотного зв'язку віддалені атаки поділяються на:
a. умовні та безумовні;
b. атаки зі зворотним зв'язком та без зворотного зв'язку;
c. внутрішньосегментні та міжсегментні;
8. Антивірус переглядає файли, оперативну пам'ять та завантажувальні сектори дисків щодо наявності вірусних масок:
a. лікар;
b. сканер;
c. сторож.
9. Антивірусний лікар:
a. знаходить заражені вірусами файли та видаляє з файлу тіло вірусу, повертаючи файли у вихідний стан;
b. переглядає файли, оперативну пам'ять та завантажувальні сектори дисків щодо наявності вірусних масок;
c. виявляє підозрілі дії під час роботи комп'ютера, характерні для вірусів.
10. Метод захисту інформації ідентифікація та встановлення автентичності полягає в:
a. контроль доступу до внутрішнього монтажу, ліній зв'язку та технологічних органів управління;
b. поділ інформації, на частини та організації доступу до неї посадових осіб відповідно до їх функціональних обов'язків та повноважень;
c. перевірці, чи є об'єкт (суб'єкт), що перевіряється тим, за кого себе видає.
11. Відповідно до норм російського законодавства захист інформації є прийняття правових, організаційних та технічних заходів, спрямованих на …
A. забезпечення захисту інформації від неправомірного доступу, знищення, модифікування, блокування, копіювання, надання, розповсюдження, а також від інших неправомірних дій щодо такої інформації
b. дотримання норм міжнародного права у сфері інформаційної безпеки
c. розробку методів та удосконалення засобів інформаційної безпеки
12. Суть компрометації інформації:
a. внесення змін до бази даних, внаслідок чого користувач позбавляється доступу до інформації
b. несанкціонований доступ до інформації, що передається по каналах зв'язку та знищення змісту переданих повідомлень
C. внесення несанкціонованих змін до бази даних, внаслідок чого споживач змушений або відмовитися від неї, або докладати зусиль для виявлення змін і відновлення істинних відомостей
13. Інформаційна безпека автоматизованої системи – це стан автоматизованої системи, за якого вона, …
A. з одного боку, здатна протистояти впливу зовнішніх та внутрішніх інформаційних загроз, а з іншого – її наявність та функціонування не створює інформаційних загроз для елементів самої системи та зовнішнього середовища
b. здатна протистояти лише інформаційним загрозам, як зовнішнім так і внутрішнім
c. здатна протистояти лише зовнішнім інформаційним загрозам
14. Принципова відмінність міжмережевих екранів (МЕ) від систем виявлення атак (ЗРВ):
a.МЕ були розроблені для активного або пасивного виявлення, а СОР – для активного чи пасивного захисту
b. МЕ були розроблені для активного чи пасивного захисту, а СОР – для активного чи пасивного виявлення
c. МЕ працюють лише на мережевому рівні, а СОВ – ще й на фізичному
15. Під загрозою віддаленого адміністрування у комп'ютерній мережі розуміється загроза …
a. впровадження агресивного програмного коду в рамках активних об'єктів Web-сторінок
b.перехоплення або заміни даних на шляхах транспортування
C. несанкціонованого керування віддаленим комп'ютером
16. До форм захисту інформації не належить...
A. аналітична
b. правова
c. організаційно-технічна
17. Шифрування шляхом перестановки:
a. символи тексту, що шифрується, послідовно складаються з символами деякої спеціальної послідовності;
b. шифрування полягає у отриманні нового вектора як результату множення матриці на вихідний вектор;
c. символи тексту, що шифрується, переміщаються за певними правилами всередині блоку цього тексту, що шифрується;
18. Доступ до інформації це:
a. процес збору, накопичення, обробки, зберігання, розподілу та пошуку інформації;
b. одержання суб'єктом можливості ознайомлення з інформацією, у тому числі за допомогою технічних засобів;
c. діяльність щодо запобігання витоку інформації, несанкціонованих та ненавмисних впливів на неї.
19. Три складові інформаційної безпеки:
a. доступність, цілісність, конфіденційність
b. недоторканність, цілісність, стійкість
c. публічність, доступність, захищеність
d. таємниця, охорона, зашифрованість
20. Який стандарт визначає вимоги до управління інформаційною безпекою?
a. ГОСТ Р 15408
b. ГОСТ ІСО/МЕК 27001
c. ГОСТ ІСО/МЕК 17799
d. немає такого стандарту
a. як комерційну таємницю
b. як винахід
c. як спосіб
d. як літературний твір
22. До методів поводження з виявленими ризиками належать:
a. ухилення, протидія, передача, порятунок
b. ухилення, налаштування, передача, порятунок
c. ухилення, протидія, страхування, порятунок
d. уникнення, протидія, передача, прийняття
На кого покладається відповідальність за визначення ресурсів, що підлягають захисту, на підприємстві?
a. на вище керівництво
b. на керівників середньої ланки
c. на рядових працівників
d. на службу ІБ
Чи може адміністратор інформаційної системи підприємства передавати відповідальність та повноваження щодо забезпечення ІБ постачальнику послуг?
b. повноваження – ні, відповідальність – так
c. повноваження - так, відповідальність - ні
Чи можна змінити MAC-адресу мережної платикомп'ютера?
b. так, але потрібна апаратна модифікація
Чи можливо, переглядаючи HTTP-трафік користувача, дізнатися пароль цього користувача на доступ до веб-сайту?
a. так завжди
c. так, тільки якщо поряд з паролем використовуються cookies
d. так, якщо використовується браузер Internet Explorer
Користувач випадково видалив файл із спільної папки на сервері. Як можна його відновити?
a. з Корзини на комп'ютері користувача
b. адміністратор зможе відновити файл із Кошика на сервері
c. відкрити спільну папкуза допомогою Провідника та виконати команду "Відновити" з меню "Редагувати"
d. адміністратор зможе відновити файл із останньої резервної копії
Якими методами виявляють поліморфні віруси?
a. за допомогою сигнатури
b. за допомогою поліморфного антивірусу
c. методами деморфізації
d. евристичними методами та емуляторами коду
У якій країні доступ до Інтернету повністю заборонено для всіх громадян?
a. В'єтнам
c. такої країни немає
Що таке DoS-атака?
a. атака, спрямована на вразливість ОС MS-DOS
b. атака, здійснювана зазвичай з допомогою ОС MS-DOS чи PC-DOS
c. атака типу "відмова в обслуговуванні"
d. розподілена (distributed) атака
40. Який із російських термінів, що відповідають англійському "firewall", є офіційним?
a. фаєрвол
b. брандмауер
c. міжмережевий екран
d. мережевий фільтр
ВАРІАНТ 2
1. Основні загрози конфіденційності інформації:
a. карнавал
b.переадресування
C. маскарад
a. літери P у колі або круглих дужках
c. не завжди
4. Найбільш ефективний засіб для захисту від мережевих атак
використання антивірусних програм:
a.відвідування лише «надійних» Інтернет-вузлів
B. Помаранчева книга
c. Закон «Про інформацію, інформаційні технології та захист інформації»
8. Витік інформації – це …
ВАРІАНТ 1
1. Основні загрози доступності інформації:
a. ненавмисні помилки користувачів
b. зловмисне зміна даних
c. хакерська атака
2. Засоби захисту об'єктів файлової системи ґрунтуються на…
Захист файлової системи
Зрозуміло, що найбільшу увагуу проблемі захисту операційної системи має приділятися захисту файлової системи.
Файлова система UNIX має деревоподібну структуру. Том прямого доступу поділяється на декілька областей:
початковий завантажувач;
суперблок;
область індексних дескрипторів;
область файлів;
область, яка не використовується для файлової системи (наприклад, область
для розвантаження процесів).
Суперблок складається з наступних полів:
розмір файлової системи;
кількість вільних блоків у файловій системі;
заголовок списку вільних блоків, що є у файловій системі;
номер наступного елемента у списку вільних блоків;
розмір області індексів;
кількість вільних індексів у файловій системі;
список вільних індексів у файловій системі;
наступний вільний індекс у списку вільних індексів;
заблоковані поля для списку вільних і вільних блоків
індексів; Прапор, що показує, що в суперблок були внесені зміни.
При монтуванні ( команда mount) файлової системи суперблок записується в оперативну пам'ять і переписується назад при розмонтуванні (команда unmount). Для того щоб забезпечувалася узгодженість із даними, що зберігаються у файловій системі, ядро періодично (через 30 с) переписує суперблок на диск (системний виклик sync, що запускається з процесу update SCO UNIX).
Кожен файл у UNIX має унікальний індекс. Індекс це управляючий блок. У літературі він також називається індексним дескриптором, i-node чи i-вузлом. Індекс містить інформацію, необхідну для будь-якого процесу для того, щоб звернутися до файлу, наприклад права власності на файл, права доступу до файлу, розмір файлу і розташування даних файлу у файловій системі. Процеси звертаються до файлів, використовуючи чітко визначений набір системних дзвінків та ідентифікуючи файл рядком символів, які є складовим ім'ям файлу. Кожне складене ім'я однозначно визначає файл, завдяки чому ядро системи перетворює це ім'я на індекс файлу.
Індекси існують на диску у статичній формі, і ядро зчитує їх на згадку перш, ніж почати з ними працювати. Індекси містять такі поля.
1. Ідентифікатор власника файлу та ідентифікатор групи.
2. Тип файлу. Файл може бути файлом звичайного типу, каталогом, спеціальним файлом (відповідним пристроям введення-виведення символами або блоками, а також абстрактним файлом каналу, що організує обслуговування запитів у порядку надходження "першим прийшов - першим вийшов").
3. Права доступу до файлу. Права доступу до файлу розділені між індивідуальним власником, групою користувачів, до якої входить власник файлу, та рештою. Суперкористувач (користувач з ім'ям root) має право доступу до всіх файлів у системі. Кожному класу користувачів виділено певні права на читання, запис та виконання файлу, які встановлюються індивідуально. Оскільки каталоги як файли не можуть бути виконані, дозвіл на виконання в даному випадку інтерпретується як право здійснювати пошук у каталозі на ім'я файлу, а право запису - як право створювати та знищувати в ньому файли.
4. Тимчасові відомості, що характеризують роботу з файлом: час внесення останніх зміну файл, час останнього звернення до файлу, час внесення останніх змін до індексу.
5. Число покажчиків індексу, що означає кількість імен файлів, що посилаються на цей файл.
6. Таблицю адрес дискових блоків, у яких міститься інформація файла. Хоча користувачі трактують інформацію у файлі як логічний потік байтів, ядро має ці дані в несуміжних дискових блоках.
7. Розмір файлу в байтах.
Звернемо увагу, що в індексі відсутня складова назва файлу, необхідна для доступу до файлу.
Вміст файлу змінюється лише тоді, коли файл виконується запис. Вміст індексу змінюється при зміні вмісту файлу, так і власника файлу, прав доступу і т.д. Зміна вмісту файлу автоматично викликає корекцію індексу, проте корекція індексу ще не означає зміну вмісту файлу.
При відкритті файлу індекс копіюється в пам'ять і записується назад на диск, коли останній процес, який використовує цей файл, закриє його. Копія індексу в пам'яті містить, крім полів дискового індексу, такі поля.
1. Стан індексу в пам'яті, що відображає:
Чи заблоковано індекс;
Чи чекає на зняття блокування з індексу будь-який процес;
Чи відрізняється подання індексу в пам'яті від дискової копії в результаті зміни вмісту індексу;
Чи відрізняється подання індексу в пам'яті від дискової копії в результаті зміни вмісту файлу;
Чи знаходиться вказівник файлу на початку.
2. Логічний номер пристрою файлової системи, що містить файл.
3. Номер індексу. Так як індекси на диску зберігаються в лінійному масиві, ядро ідентифікує номер дискового індексу за його місцем розташування в масиві. У дисковому індексі це поле не потрібне.
4. Вказівники інших індексів у пам'яті.
5. Лічильник посилань, що відповідає кількості активних (відкритих) екземплярів файлу.
Багато поля в копії індексу, з якою ядро працює у пам'яті, аналогічні полям у заголовку буфера, і керування індексами схоже управління буферами. Індекс також блокується, внаслідок чого іншим забороняється робота з ним. Ці процеси встановлюють в індексі спеціальний прапор, який інформує про те, що виконання процесів, що звернулися до індексу, слід відновити, як тільки блокування буде знято. Установкою інших прапорів ядро відзначає розбіжність між дисковим індексом та його копією у пам'яті. Коли ядру потрібно буде записати зміни до файлу або індексу, воно перепише копію індексу з пам'яті на диск тільки після перевірки цих прапорів.
Каталоги (довідники) є файлами, у тому числі будується ієрархічна структура файлової системи. Вони грають важливу рольу перетворенні імені файлу на номер індексу. Каталог - це файл, вмістом якого є набір записів, що складаються з номера індексу та імені файлу, включеного до каталогу. Складове ім'я - це рядок символів, що завершується порожнім символом і поділяється похилою межею (Т) на кілька компонентів. Кожен компонент, крім останнього, має бути ім'ям каталогу, але останній компонент може бути ім'ям файлу, який не є каталогом. Ім'я кореневого каталогу – "/". В UNIX довжина кожного компонента визначається 14 символами. Таким чином, разом із 2 байтами, що відводяться для номера індексу, розмір запису каталогу становить, як правило, 16 байт.
Традиційно у файлових системах ОС UNIX за доступом до всіх типів файлів (файли, довідники та спеціальні файли) відповідають 9 біт, які зберігаються в i-вузлі. Перша група з 3 біт визначає права доступу до файлу для його власника, друга - для членів групи власника, третя - для решти користувачів.
Наприклад, права доступу "rwxr-xr-" до файлу означають, що власник файлу має повний доступ, члени групи мають можливість читання та виконання, решта мають можливість лише читати даний файл. Для довідника установка біта виконання "х" означає можливість пошуку (вилучення) файлів із цього довідника.
Така система захисту файлів існує досить давно і не викликає нарікань. Справді, щоб вручну, тобто. не вико-
використовуючи системні дзвінки та команди, змінити права доступу до файлу, слід мати доступ до області i-вузлів. Щоб мати доступ до області i-вузлів, слід змінити права доступу спеціального файлу (наприклад, /dev/root), біти доступу якого також зберігаються в області i-вузлів. Іншими словами, якщо випадково чи навмисне не зіпсувати права доступу до всіх файлів системи, встановлені за умовчанням (зазвичай правильно) при інсталяції, то можна з великим ступенем ймовірності гарантувати безпеку роботи системи.
Відповідно до принципів побудови ОС UNIX необхідний ще четвертий-біт, визначальний права виконання виконуваного файла. Четвертий біт у загальному випадку інтерпретується як можливість зміни ідентифікатора користувача. Його значеннєве навантаження змінюється в залежності від того, в якій групі бітів доступу він встановлений. Якщо четвертий біт встановлено групи бітів прав доступу власника (setuid), то дана програмавиконується для будь-якого користувача із правами власника цього файлу.
У будь-якій системі UNIX таких команд дуже багато. Тривіальний приклад використання незареєстрованого файлу із встановленим бітом setuid полягає в наступному:
Одного разу, дізнавшись пароль будь-якого користувача, зловмисник створює копію командного інтерпретаторау своєму домашньому довіднику або ще де-небудь, щоб його не впізнали, наприклад, у глибокому дереві в /usr/tmp (зауважимо, що рекурсивна робота з деревом дуже обмежена по глибині, яка для SCO UNIX дорівнює приблизно 15);
Робить власником файлу іншого користувача та його правами встановлює біт setuid;
Доки файл не буде знищений, зловмисник буде користуватися правами іншого користувача.
У цьому прикладі очевидно, що якщо зловмисник випадково один раз дізнається пароль суперкористувача, то він матиме повністю його права. Тому необхідно регулярно перевіряти всі файлові системи на наявність незареєстрованих файлів із встановленим бітом setuid.
Якщо четвертий біт встановлений у групі біт прав доступу членів групи (setgid), ця програма виконується будь-якого користувача з правами членів групи цього файла.
Біт setgid в системах UNIX використовується набагато рідше, ніж біт setuid, проте все сказане щодо можливих загрозПри установці біта setuid справедливо для біта setgid. Якщо біт setgid встановлено для довідника, це означає, що для всіх файлів, створюваних користувачем у цьому довіднику, груповий ідентифікатор буде встановлений таким же, як у довідника.
Якщо четвертий біт встановлено групи бітів прав доступу всіх інших користувачів (біт sticky), це вказує операційній системі робити спеціальний текстовий образ виконуваного файла. На сьогоднішній день для виконуваного файлу біт sticky зазвичай не використовується. Він використовується лише для довідників. Його установка для довідника означає, що користувачі не мають права видаляти чи перейменовувати файли інших користувачів у цьому довіднику.
Це необхідно насамперед для довідників /tmp та /usr/tmp, щоб один користувач випадково чи спеціально не зміг пошкодити роботі іншого користувача. Слід нагадати, що найпоширенішою помилкою адміністратора є встановлення в змінну оточення PATH значення поточного довідника, що робиться для зручності, щоб не набирати перед кожною командою поточного довідника символи ".Г. Найгірше, якщо це значення встановлено на початку. Наприклад, PATH= .:/bin:/usr/bin:/etc.У цьому випадку досить зловмиснику помістити в довідник /tmp або /usr/tmp власні образи найбільш поширених команд (Is, ps тощо) - і наслідки набору невинної послідовності команд (наприклад, cd /tmp; Is) будуть важко передбачуваними. змінної оточення PATH поточний довідник не встановлено. Аналогічно погано для системи можуть закінчитися спроби запуску невідомих програм користувачаз їхніх домашніх чи спільних довідників.
Біт sticky для довідника може встановити лише адміністратор. Очевидно, що він може видалити файли будь-якого користувача в цьому довіднику. Для підвищення надійності функціонування системи слід встановити біти sticky для всіх загальних довідників.
Важливою особливістю реалізації системи захисту є очищення бітів setuid, setgid і sticky для файлів, у яких проводиться запис. При цьому очищення бітів робиться навіть для файлів, якщо в них зроблено запис власника. Очищення перерахованих бітів для довідників не провадиться.
Деякі системи UNIX (наприклад, Solaris) надають додаткові можливості управління правами доступу до файлів шляхом використання списків управління доступом (Access Control List). Цей механізмдозволяє для кожного користувача або окремої групи встановити індивідуальні права доступу до заданого файлу. При цьому списки доступу зберігаються всіма системними засобамикопіювання та архівування. Не можна сказати, що введення цього механізму важливо покращує захист файлів. Тим не менш, він вносить деяку гнучкість у процедуру формування прав доступу до файлів.
Окремо слід розглянути значення системної змінної umask. За її допомогою встановлюються за промовчанням права доступу до файлу під час його створення. Значення змінної umask встановлює, які біти маскуватимуться. Наприклад, у SCO UNIX значення змінної umask за замовчуванням встановлено 022. Це означає, що для будь-якого створеного файлу за замовчуванням буде встановлено права доступу "rwxr-xr-х". Якщо значення змінної umask з будь-яких причин буде змінено, це може призвести до непередбачуваних наслідків. В силу цього кожному користувачеві необхідно явно прописати значення змінної umask у стартовому файлі (.profile або.cshrc або т.п.).
У цьому посібнику не розглядаються можливості закриття файлів командою crypt, що реалізує Data Encryption Standard (DES), оскільки дана системна командадо Росії не поставляється.
Необхідно наголосити на важливості правильної установкиправ доступу до спеціальних файлів. При цьому треба пам'ятати, що для одного і того ж фізичного устроюможуть існувати кілька спеціальних файлів (залежно від способу доступу). Наприклад, /dev/root та /dev/rroot.
Слід звернути увагу на забезпечення режиму захисту при імпортуванні даних з інших систем. У загальному випадку архівні програми скидають режими доступу до файлів, які можуть спричинити безпеку системи. Проте кількість версій архівних програм та їх реалізацій у різних системах UNIX дуже значна. Так, ряд версій команди tar підтримує опції, за яких не змінюється належність файлу власнику та групі. Деякі системи UNIX дають змогу копіювати спеціальні файли за допомогою команди tar, а деякі не дозволяють. З особливою увагою слід користуватися командою cpio, оскільки за її допомогою можна зробити копії файлів, зберігаючи всі біти (setuid, setgid та sticky) та права доступу до файлів.
При монтуванні файлових систем, створених або оброблюваних на інших системах, можуть виникнути проблеми, що й імпортованих файлів. Для файлових систем є ще додаткові проблеми. Перша їх - файлова система, перенесена з іншої системи, може бути зіпсована. Принагідно зауважимо, що логічні помилки у файловій системі можуть бути виправлені командою fsck перед монтуванням. Набагато гірше ОС UNIX відноситься до фізичним збоямна дисках. В обох випадках монтування дефектної файлової системи може призвести до фатального збою, викликати подальше пошкодження даних в імпортованій файловій системі або пошкодження інших файлових систем через побічні ефекти.
Друга проблема з імпортованими файловими системами може виникнути через встановлених правдоступу до файлів та довідників, які можуть бути неприпустимими для вашої системи. У цьому випадку для виявлення установок різних бітів (setuid, setgid, sticky) можна скористатися відповідною командою (наприклад, ncheck для SCO). Для пошуку неправильних установокдля файлів власників та груп в імпортованій файловій системі можна запропонувати лише ручний перегляд.
Контроль цілісності системи
Відомо, що вартість відновлення системи вища за вартість її супроводу. До завдань супроводу ОС входить, зокрема, контроль цілісності системи. У ОС UNIX контроль цілісності системи виконується поруч команд. Наприклад, контролю та підтримки цілісності SCO UNIX основний перелік команд системи наступний: integrity, authck, fixmog, cps, tcbck, smmck, authckrc, fsck. Практика показує, що даний набіркоманд є досить повним.
Стандартна послідовність дій після виникнення збою в системі або інших відхилень наступна:
Перевірка файлової системи;
Складання контрольного звіту;
Перевірка бази даних аутентифікації;
Перевірка дозволів для системних файлів.
Слід зазначити, що системні засоби відновлення цілісності системи працюють до певної межі. Авторами був проведений наступний експеримент для SCO UNIX Release 5.0:
Всім файлам системи було призначено власника root;
У всіх файлів системи були встановлені права доступу зі значенням системної змінної umask.
Внаслідок цих дій системними засобами не вдалося відновити нормальні права доступу та власників файлів. Такий експеримент має життєву основу, наприклад, розмноження системи на інші комп'ютери по мережі. Тому єдиним способом дублювання системи на інші комп'ютери слід вважати використання команди cpio. Також слід зазначити, що у SCO Release 3.2 та Release 5.0 права доступу та власники деяких файлів за умовчанням не відповідають базі даних контролю цілісності системи. Авторами не досліджувалися питання впливу цих невідповідностей на безпеку та цілісність роботи системи.
3. Кошти аудиту
Вважатимемо, що дія контролюється, якщо можна визначити реального користувача, що його здійснив. Концептуально під час побудови ОС UNIX деякі дії не можна контролювати лише на рівні дій реального користувача. Наприклад, бюджети користувача, такі як Ip, cron або uucp, використовуються анонімно, і їх дії можна виявити тільки за змінами в системній інформації.
Система контролю реєструє події в операційній системі, пов'язані із захистом інформації, записуючи їх у контрольний журнал. У контрольних журналах можлива фіксація проникнення у систему та неправильного використання ресурсів. Контроль дозволяє переглядати зібрані дані для вивчення видів доступу до об'єктів та спостереження за діями окремих користувачів та їх процесів. Спроби порушення захисту та механізмів авторизації контролюються. Використання системи контролю дає високий ступіньгарантії виявлення спроб обійти механізми безпеки. Оскільки події, пов'язані із захистом інформації, контролюються та враховуються аж до виявлення конкретного користувача, система контролю є стримуючим засобом для користувачів, які намагаються некоректно використовувати систему.
Відповідно до вимог щодо надійності операційна система повинна створювати, підтримувати та захищати журнал реєстраційної інформації, що стосується доступу до об'єктів, контрольованих системою. При цьому має бути можливість реєстрації наступних подій:
Використання механізму ідентифікації та аутентифікації;
Внесення об'єктів до адресного простору користувача (наприклад, відкриття файлу);
Видалення об'єктів;
дій адміністраторів;
Інших подій, що стосуються інформаційної безпеки.
Кожен реєстраційний запис повинен включати такі поля:
Дата та час події;
Ідентифікатор користувача;
Тип події;
Результат дії.
Для подій ідентифікації та аутентифікації також реєструється ідентифікатор пристрою. Для дій із об'єктами реєструються імена об'єктів.
Типи контрольованих подій, що підтримуються SCO Release 5.0, наведені в табл. 1.
Система контролю використовує системні виклики та утиліти для класифікації дій користувачів, поділяючи їх на події різного типу. Наприклад, при виникненні події типу DAC Denials (відмова доступу при реалізації механізму виборчого розмежування доступу) реєструються спроби такого використання об'єкта, які не допускаються дозволами для цього об'єкта. Іншими словами, якщо процес користувача намагається писати у файл з доступом "тільки для читання", то виникає подія типу "DAC Denials". Якщо переглянути контрольний журнал, то легко можна побачити спроби доступу до файлів, на які не отримано дозволу.
Істотно збільшує ефективність контролю наявність реєстраційного ідентифікатора користувача (LUID). Після проходження користувачем процедур ідентифікації та аутентифікації, тобто. безпосереднього входу в систему, кожному процесу, що створюється користувачем, надається реєстраційний ідентифікатор користувача. Цей ідентифікатор зберігається, незважаючи на переходи від одного бюджету користувача до іншого, за допомогою таких команд, як su.
Кожна контрольний запис, що генерується системою контролю, містить для кожного процесу реєстраційний ідентифікатор поряд з ефективним та реальним ідентифікаторами користувача та групи. Таким чином, можливим є облік дій користувача.
Окремо слід розглянути реалізацію механізму контролю для роботи у режимі ядра. Даний механізм генерує контрольні записи за результатами виконання процесів користувача за допомогою системних викликів ядра. Кожен системний виклик ядра містить рядок у таблиці, де вказується зв'язок системного виклику з контролем захисту інформації та тип події, якому він відповідає.
Таблиця 1
| Тип | Зміст |
| 1. Startup/Shutdown | |
| 2. Login/Logout | Успішний вхід та вихід із системи |
| 3. Process Create/Delete | Створення/знищення процесу |
| 4. Make Object Available | Зробити об'єкт доступним (відкрити файл, відкрити повідомлення, відкрити семафор, монтувати файлову систему тощо) |
| 5. Map Object to Subject | Відобразити об'єкт у суб'єкт (виконання програми) |
| 6. Object Modification | Модифікація об'єкта (запис у файл тощо) |
| 7. Make Object Unavailable | Зробити об'єкт недоступним (закрити файл, закрити повідомлення, закрити семафор, розмонтувати файлову системуі т.п.) |
| 8. Object Creation | Створення об'єкта (створення файлу/повідомлення/семафору тощо) |
| 9. Object Deletion | Видалення об'єкта (видалення файлу/повідомлення/семафору тощо) |
| 10. DAC Changes | Зміна розмежування доступу (зміна доступу до файлу, повідомлення, семафора, зміна власника тощо) |
| 11. DAC Denials | Відмова доступу (відсутність прав доступу до будь-якого об'єкта) |
| 12. Admin/Operator Actions | Дії (команди) системних адміністраторівта операторів |
| 13. Insufficient Authorization | Процеси, які намагаються перевищити свої повноваження |
| 14. Resource Denials | Відмови у ресурсах (відсутність необхідних файлів, перевищення розмірів пам'яті тощо) |
| 15. IPC Functions | Посипання сигналів та повідомлень процесам |
| 16. Process Modifications | Модифікації процесу (зміна ефективного ідентифікатора процесу, поточного довідника процесу тощо) |
| 17. Audit Subsystem Events | Події системи контролю (дозвіл/заборона системного контролю та модифікація подій контролю) |
| 18. Database Events | Події бази даних (зміна даних безпеки системи та їх цілісності) |
| 19. Subsystem Events | Події підсистеми (використання захищених підсистем) |
| 20. Use of Authorization | Використання привілеїв (контроль дій із використанням різних привілеїв) |
Крім того, використовується таблиця кодів помилок, що дозволяє класифікувати системні дзвінки як конкретні події, пов'язані із захистом інформації.
Наприклад, системний виклик Open класифікується як подія "Зробити об'єкт доступним". Якщо користувач виконує системний виклик open для файлу /unix і цей системний виклик завершується успішно, то генерується контрольний запис про цю подію. Однак якщо системний виклик open закінчується невдало через те, що користувач запросив у системному виклику доступ до запису файлу /unix, не маючи дозволу, то ця дія класифікується як подія "Відмова доступу" для даного користувача та об'єкта /unix. Отже, системний виклик можна відобразити в кілька типів подій, залежно від об'єкта, до якого здійснюється доступ, та (або) результату виклику.
Деякі системні виклики не стосуються захисту інформації. Наприклад, системний виклик getpid отримує ідентифікатор процесу та не визначає жодної події, пов'язаної із захистом інформації. Таким чином, цей системний виклик не підлягає контролю.
Механізм контролю ядра видає внутрішній виклик драйверу пристрою для занесення запису в контрольний журнал. Зазначимо, що інформацію контролю система записує безпосередньо на диск, не чекаючи синхронізації суперблоків в оперативній пам'яті та на диску. Цим досягається повний захиствід руйнування інформації контролю. Однак слід мати на увазі, що при включенні всіх подій контролю та при активній роботі користувачів обсяг записуваної інформації може досягати кількох мегабайтів на одного користувача на годину. Тому контроль слід розглядати не як превентивний захід, а як запобіжний захід.
